-
-
[旧帖] [讨论]进程自身防注入的方法 0.00雪花
-
发表于: 2011-1-30 17:42
-
寻找不用多余的工具,自身就防止注入的方法
在CSDN中看到两个方法:
1 监测。简单说,就是用另外一个程序来监测你的进程,采用快照的办法枚举它的所有模块,一旦发现有了不应当有的模块,立刻终止这个非法模块。
2 自我保护。可以通过设置本进程的DACL,阻止任何用户(升了级的系统管理员除外)在本进程中执行CreateRemoteThread这个API,或者干脆拒绝一切形式的OpenProcess访问。
看起来似乎可行,但是似乎并不彻底,想问问牛人们有好的办法吗。。。。
在CSDN中看到两个方法:
1 监测。简单说,就是用另外一个程序来监测你的进程,采用快照的办法枚举它的所有模块,一旦发现有了不应当有的模块,立刻终止这个非法模块。
2 自我保护。可以通过设置本进程的DACL,阻止任何用户(升了级的系统管理员除外)在本进程中执行CreateRemoteThread这个API,或者干脆拒绝一切形式的OpenProcess访问。
看起来似乎可行,但是似乎并不彻底,想问问牛人们有好的办法吗。。。。
